小主,“天镜”前来问诊啦~
发布时间:2018-04-09   作者:启明星辰

百花齐放、万柳垂绦
本该是个踏青赏春、欣欣向荣的好季节
然而安全圈却未曾消停
在经历了“熔断”和“幽灵”的洗礼后
每个网络安全人都时刻警惕着
随时防御新一轮恶意攻击
 
这不
启明星辰漏扫团队就开启了“天镜问诊模式”
↓↓↓


问诊一号:memcache放大攻击


病情描述


memcached的服务异常发包,导致系统资源紧张,这么大的数据量会不会对别的网络设备造成影响?
 

初步诊断


异常发包,资源紧张,发包目的地址明确;该患者存在编号为CVE-2018-1000115的Memcache 相关漏洞,通过该漏洞,已被用于放大拒绝服务攻击肉鸡,建议及时排查。


病情原理


memcached放大攻击,黑客通过特定的的IP地址向网站的缓存服务器UDP端口11211,发出假请求,最终引发大规模的并发回应。据网络安全公司分析,只需要少量的连接请求就可以请发成千上万次的网站回应次数,15比特的连接请求会引发134KB的回应,这种攻击效果放大了10000倍!实际测试中,甚至还能引发750KB的回应,攻击效果放大了51200倍!


病情处方


1.检测是否存在比编号为CVE-2018-1000115的漏洞;

2.检测Memcache其它的相关漏洞,保证Memcache服务正常运行。
(建议使用天镜脆弱扫描与管理系统,升级至60700151升级包)


缓解措施


最简单的预防措施是系统防火墙,禁用或限制11211的UDP端口号。由于Memcached缓存服务器默认开启监听INADDR_ANY和UDP功能,系统管理员可以在配置中关闭UDP。


问诊二号:Exim任意命令执行


病情描述


Exim在处理文件的时候,在系统中弹出了计算器,这是怎么回事?


初步诊断


根据现有时间点,该患者应该存在编号为CVE-2018-6789的漏洞,这个漏洞可以让Exim执行任意代码,建议及时排查。


病情原理


该漏洞源于base64解码函数中的一个缓冲区溢出问题。常规下base64编码的字符串的长度为4的倍数,但是有可能在传输或者恶意构造的情况下导致长度不为4的倍数,致使长度计算错误。通过该漏洞,攻击者可以绕过防护机制在受影响的应用程序上下文中执行任意代码。若攻击尝试失败仍可导致拒绝服务。
 

病情处方


1. 检测是否存在编号CVE-2018-6789漏洞;


2. 检测Exim其它的相关漏洞,保证Exim服务正常运行。
(建议使用天镜脆弱扫描与管理系统,升级至60700151升级包)


问诊三号:Cisco拒绝服务攻击


病情描述


Cisco的4786端口总能接收到异常数据,有时候Cisco会拒绝服务,有时候会在日志中看到执行非常规命令?
 

初步诊断


4786端口是思科 IOS 和 IOS-XE 系统 Smart Install Client的服务端口,该患者应该患有编号为CVE-2018-0171的Cisco相关漏洞。
 

病情原理


思科 IOS 和 IOS-XE 系统 Smart Install Client 代码中存在一处缓冲区栈溢出漏洞(CVE-2018-0171)。攻击者可以远程向 TCP 4786 端口发送一个恶意数据包,利用该漏洞,触发目标设备的栈溢出漏洞造成设备拒绝服务(DoS)或在造成远程命令执行,攻击者可以远程控制受到漏洞影响的网络设备。
 

病情处方

1. 检测是否存在编号CVE-2018-0171的漏洞; 2. 检测Cisco其它的相关漏洞,保证Cisco服务正常运行。
(建议使用天镜脆弱扫描与管理系统,升级至60700151升级包)


问诊四号:Weblogic反序列化任意命令执行


病情描述


Weblogic最近总会执行非授权命令,是否有办法确定确认是否存在反序列化漏洞?
 

初步诊断


根据描述,有可能存在java反序列化漏洞,建议对java反序列化相关漏洞进行验证;


病情原理


Java反序列化是指把字节序列恢复为Java对象的过程,ObjectInputStream类的readObject()方法用于反序列化。暴露或间接暴露反序列化API,导致用户可以操作传入数据,攻击者可以精心构造反序列化对象并执行恶意代码。


病情处方


1.验证java反序列化相关漏洞,编号为CVE-2016-0638、CVE-2016-3510、CVE-2017-10271、CVE-2017-3248、CVE-2015-4852、CVE-2015-4852;

2.检测weblogic其它的相关漏洞,保证weblogic服务正常运行。
(建议使用天镜脆弱扫描与管理系统,升级至60700151升级包,使用漏洞验证功能)


 关于启明星辰漏扫产品中心


 
启明星辰漏扫产品中心聚焦于网络资产脆弱性安全评估、检测和修复;研发了针对安全风险各个阶段的安全产品及服务;产品包括:天镜脆弱性扫描与管理系统、天镜web应用检测系统、天镜脆弱性扫描与管理系统-工控专用版、工控无损评估系统、漏洞修复管理系统、天镜漏洞管理平台、工控漏洞挖掘系统。
 

启明星辰脆弱性评估和管理产品族

 

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2018 版权所有 京ICP备05032414号 京公网安备11010802024551号